Návrh nového zákona o ochraně osobních údajů je na světě

Hlavním cílem předloženého návrhu zákona je zajistit soulad vnitrostátní právní úpravy s GDPR a tím splnit povinnost, která České republice plyne z členství v Evropské unii. Neprovedení takového kroku by znamenalo nesplnění závazků plynoucích z tohoto členství, což by ve svém důsledku mohlo vést k uvalení finančních sankcí ze strany EU.

Jednotná úroveň ochrany dat fyzických osob v celé Evropské unii deklarovaná v GDPR zamezí rozdílům bránícím volnému pohybu osobních údajů v rámci vnitřního trhu a poskytne všem subjektům, včetně mikropodniků, malých a středních podniků, právní jistotu a transparentnost. Fyzickým osobám ve všech členských státech pak zajistí stejnou úroveň značně posílených práv vymahatelných stejnými právními prostředky a správcům a zpracovatelům uloží povinnosti a úkoly prostřednictvím důsledného monitorování zpracování osobních údajů a rovnocenných sankcí ve všech členských státech.

Návrh nového českého zákona nejde nad rámec úprav stanovených v GDPR a v návaznosti na zmocnění daná národním legislativám zpřesňuje některé oblasti ve světle místních zvyklostí. Za zmínku stojí tyto důležité okruhy:

• Věk dítěte pro souhlas se zpracováním jeho osobních údajů je navržen na 13 let a tento souhlas je platný pouze tehdy, pokud je vyjádřen nebo schválen jeho zákonným zástupcem.
•  Za veřejný subjekt podle článku 37 nařízení se považuje orgán zřízený zákonem nebo na základě zákona v oblasti práva veřejného, který plní zákonem stanovené úkoly ve veřejném zájmu. V praxi se tím rozumí orgány moci výkonné a soudní včetně územní a zákonem regulované profesní samosprávy, tedy zejména:
  • ministerstva, další ústřední orgány státní správy a úřady jim podřízené,
  • veřejné sbory, ozbrojené sbory (Policie ČR, HZS, Armáda ČR),
  • veřejné školy,
  • veřejná zdravotnická zařízení,
  • kraje (14), obce (asi 6 250),
  • státní podniky a případně další veřejné ústavy,
  • komory (ČAK, ČLK…),
  • soudy (vč. Ústavního) mimo soudní rozhodování.
• Český institut pro akreditaci, o.p.s. je jediným určeným akreditačním orgánem pro certifikace splnění požadavků různých dobrovolných pečetí, známek nebo certifikátů ochrany soukromí. ÚOOÚ bude pro akreditaci v této oblasti uplatňovat dodatečné požadavky zaměřené na ochranu osobních údajů.
• Článek 85 GDPR ukládá členským státům povinnost uvést prostřednictvím právních předpisů právo na ochranu osobních údajů do souladu s právem na svobodu projevu a informací, včetně zpracování pro novinářské účely, pro účely akademického, uměleckého či literárního projevu. Cílem navržené úpravy je v mezích možností zachovat dosavadní stav a standard zejména novinářské práce, nikoliv rozšiřovat, ale ani zužovat prostor svobody tisku. V ideálním případě by nemělo nejen v oblasti novinářské práce dojít k zásadním změnám a posunům oproti dosavadnímu stavu.
• Reforma ochrany osobních údajů se nevztahuje na zpracování osobních údajů zpravodajskými službami, protože Evropská unie nemá působnost v oblasti národní bezpečnosti.
• Na základě článku 83 odst. 7 nařízení se omezuje horní hranice správní pokuty pro veřejnoprávní entity shodně s dosavadní úpravou, tj. 10 milionů Kč. Důvodem tohoto omezení (jehož horní limit ještě nebyl v praxi využit) je snaha smířit odrazující a sankční povahu pokuty s faktem, že finanční prostředky těchto pokutovaných institucí zpravidla plynou z veřejných rozpočtů. V těchto případech nemá smysl stanovit horní hranici ve výši 20 mil. eur, jako to činí pro podnikatelské subjekty GDPR. Zejména v případě institucí s menším rozpočtem by v zásadě šlo o pouhé formální přesuny finančních prostředků v rámci státního rozpočtu, neboť takové instituce by musely o finanční prostředky na úhradu pokuty dodatečně žádat.

Na druhou stranu nelze od nového zákona očekávat konkrétní a unifikované návody, postupy či řešení v rámci aplikace GDPR pravidel, po kterých dotčené subjekty z důvodu nepochopení celé problematiky neustále volají. Po zveřejnění tohoto návrhu má česká veřejnost k dispozici dostatečné množství informací k zodpovědnému přístupu k novým pravidlům na ochranu osobních údajů. Je proto směšné se neustále vymlouvat na chybějící fakta a podklady k zahájení příprav na nové GDPR povinnosti. V návrhu rovněž nenajdete žádné výjimky pro určitou velikost nebo druh organizací, jak je mylně veřejností vykládáno a z různých důvodů po nich marně voláno.

Velmi podstatná část navržené úpravy je věnována novému uspořádání Úřadu pro ochranu osobních údajů (ÚOOÚ), který i nadále bude plnit funkci hlavního dozorového orgánu pro ČR, a to ve větším rozsahu než dosud. Nadto bude vedoucí Úřadu členem Evropského sboru pro ochranu osobních údajů, nově vzniklého nezávislého evropského dozorového úřadu, který bude mít kromě jiného rozhodovací pravomoc. Tato činnost bude vysoce kvalifikovaná, odpovědná a úkoly budou muset být plněny v krátkých lhůtách.

Nově se zavádějí dva místopředsedové Úřadu, kteří na rozdíl od dosavadních inspektorů budou předsedu zastupovat, čímž je zajištěna plná funkčnost Úřadu za všech předvídatelných okolností. Institut inspektorů se do nového zákona nepřebírá, protože z pohledu požadavků unijního práva nelze funkčnost Úřadu a jeho schopnost přeshraniční spolupráce omezit tím, že maximálně sedm osob v celém Úřadu řídí kontrolní týmy. V souvislosti s hlubším zapojením nadnárodních a evropských mechanismů v rámci ochrany osobních údajů jsou kladeny větší nároky na vyšší úroveň jazykové vybavenosti zaměstnanců Úřadu, což ve svém důsledku povede k tlaku na vyšší platové ohodnocení kvalifikovaných odborníků, kteří budou přijímáni na základě výběrového řízení podle zákona o státní službě.

Na závěr je nutné zdůraznit ten fakt, že návrh nového českého zákona o ochraně osobních údajů čeká poměrně dlouhá a nelehká cesta, protože se nacházíme ve volebním roce a tento návrh již nebude současným parlamentem schvalován. Jen si přejme, aby jeho schvalování nebylo zneužito k politickým bojům, a hlavně aby byl přijat, co nejdříve to bude možné z důvodu zachování právní jistoty.